来自GreatHorn研究人员报告说,他们通过结构观察到了犯罪分子 "畸形的URL前缀 "为了避免安全软件的保护,发送钓鱼邮件攻击的次数增加了近6000%。除非你仔细观察URL前缀中使用的符号,否则看起来很合法。
研究人员在一篇关于他们研究发现的博客文章中说:"这些URL是畸形的,常使用URL协议,比如http://或https:相反,他们在URL使用前缀http:/\"。
/在报告中解释,URL地址中的斜线在很大程度上是多余的,因此浏览器和许多扫描器甚至会忽略它们。
Typosquatting是一种常见的钓鱼邮件策略,即拼错常见的企业名称,如 "amozon.com"。试图诱导不小心的用户点击链接。研究人员解释说,现在大多数人都知道这种电子邮件的欺诈行为,所以 *** 犯罪分子不得不开发新的攻击行为。
电子邮件保护工具会被忽视URL前缀中的反斜杠
研究人员说:"这些URL不符合常见电子邮件扫描程序中包含的已知恶意链接配置文件的程序会忽略其检查。它们也可能逃脱用户对链接的检查,因为不是每个人都在URL在前缀中寻找可疑的线索。"
研究人员报告说,他们在去年10月首次注意到了这种新的攻击策略,并表示这种攻击策略从那时起发展得非常迅速。他们说,从1月到2月初,攻击次数激增了6000%。
畸形前缀的URL什么样的攻击?
GreatHorn地址为”http:/\brent.johnson.australiasnationalskincheckday.org.au//exr/brent.johnson@impacteddomain.com” 的畸形URL钓鱼邮件的例子。
研究人员解释说:“钓鱼邮件似乎是由语音邮件服务发送的”。该团队报告称,该电子邮件包含语音信息播放Audi Date.wav 文件,链接将重新定位恶意网站。
他们解释说:"网站甚至包括一个reCAPTCHA验证功能是合法网站中常见的安全功能,也显示了攻击的复杂性和微妙性"。
报告称,恶意网站页面看起来像Office的登录页面,页面要求输入用户名和密码。一旦输入,攻击者就可以控制受害者的账户凭证。
报告补充说,Office 365用户更有可能遇到这类攻击,"比例远高于将军Google Workspace作为云电子邮件环境的组织"。
报告解释说,使用这些恶意URL的攻击者采用了多种策略来传播他们的恶意软件,这其中包括使用伪造的名称冒充用户公司内部的电子邮件系统;通过从一个与企业没有任何关系的地址发送邮件来避免安全扫描器的检查;在钓鱼邮件中嵌入一个链接,该链接会重定向打开一个新的网页,同时使用一些语句描述让用户产生一种 "紧迫感"。
该报告还建议 "安全团队应尽快搜索其组织电子邮件是否包含和模式(http:/\)相匹配的URL删除所有匹配的邮件",防止其系统受到攻击。
GreatHorn首席执行官兼联合创始人Kevin O'Brien告诉Threatpost,这些恶意URL攻击可以通过使用能够详细分析的第三方解决方案来解决。
OBrien说:"在过去的五年里,有各种各样的东西API原生解决方案进入到市场中,许多解决方案都是专门针对那些传统安全电子邮件网关和平台无法分析或识别的威胁攻击而设计的,这些解决方案提供了强大的安全保障,在用户即将进入一些危险的 *** 环境时会向用户发出警报,比如我们在这次攻击中所看到的情况。"
*** 钓鱼诈骗很常见
该报告是在 *** 钓鱼诈骗特别猖獗的时期发布的。Proofpoint根据最近发布的2020年 *** 钓鱼状态,过去一年美国 *** 钓鱼攻击猛增14%。
Proofpoint高级副总裁兼安全意识培训总经理Alan LeFort说:"全球 *** 攻击者攻击方便复杂的通信方式,最明显的是通过电子邮件渠道,电子邮件仍然是一个非常先进的攻击载体,如何确保用户能够找到和报告试图进行 *** 攻击是安全业务的关键,特别是用户在远程工作中,通常在不安全的 *** 环境中。虽然许多组织表示,他们正在培训员工的安全意识,但我们的数据显示,大多数组织可能做得不够。"
本文翻译自:https://threatpost.com/malformed-url-prefix-phishing-attacks-spike-6000/164132/如果转载,请注明原始地址。